Jak na šifrování dat a ochranu systému - 7. díl

19. 7. 2013

Sdílet

 Autor: © strixcode - Fotolia.com
Dnešní díl věnujeme velice důležité akci, a sice záloze privátního klíče a tvorbě agenta obnovení, který vám zajistí možnost přístupu k zašifrovaným datům i v případě, kdy o svůj privátní klíč přijdete.

„Chraňte svá digitální data“, ozývá se ze všech stran. Přesto varování nevnímáme a často zanedbáváme. Omílané téma má své opodstatnění, toho ale doznáme, když už je příliš pozdě. Podívejte se, jak svůj digitální život včas chránit.

 

 | následující díl >>

 

Zálohování

Jak už bylo zmíněno výše, zálohu certifikátu vám systém nabídne automaticky hned po prvním zašifrování souboru či složky. Pokud tuto výzvu přeskočíte (jako jsme učinili v minulých dílech), je nutné provést později zálohu ručně. Nutno zmínit, že záloha certifikátu a privátního klíče je nadmíru důležitá, pokud byste z jakéhokoliv důvodu o svůj privátní klíč přišli (ať už systémovou nebo lidskou chybou), nebude možné vaše zašifrovaná data použít (pakliže v systému neexistuje agent obnovení, viz dále).

Principem zálohy je ve skutečnosti pouhý export vašeho certifikátu a privátního klíče, tedy postup je úplně stejný, jako ten, který jsme si ukázali v minulém díle. Export tedy proveďte a výsledný zaheslovaný .PFX soubor z počítače přesuňte (tak aby v počítači nezůstal) na vyměnitelné médium typu optický disk, flash disk a podobně. Toto médium bezpečně uschovejte tak, abyste k němu měli přístup pouze vy sami.

 

Vytvoření Agenta obnovení

Systém Windows poskytuje ještě další vrstvu zabezpečení certifikátů a privátních klíčů uživatelů. Tímto nástrojem je tzv. agent obnovení, jakýsi další virtuální uživatel, pro nějž vygenerujeme dvojici certifikát a privátní klíč. Kdykoliv si potom některý z uživatelů daného počítače zašifruje nějaký soubor, operační systém jej automaticky zašifruje také pro agenta obnovení. Pokud tedy přijdete o svůj privátní klíč, agent obnovení vám pomůže data dešifrovat.

Nejprve vygenerujme certifikát a privátní klíč pro agenta obnovení. Tyto kroky může učinit i běžný uživatel (bez administrátorských práv), avšak nemá to valný smysl (viz následující díl), tedy se nejprve přihlaste pod účtem lokálního administrátora.

 

  1. Stiskněte klávesovou zkratku Win+R, vepište cmd a potvrďte klávesou Enter.
  2. V příkazovém řádku zadejte příkaz cipher /R:racert a stiskněte Enter.
    sifr_cipher
  3. Program vás vyzve k zadání hesla pro ochranu privátního klíče. Zadejte dostatečně silné heslo a stiskněte Enter (dvakrát).
  4. Nyní ve svém uživatelském adresáři (pravděpodobně C:/Users/vaše_jméno) naleznete dvojici souborů racert.cer a racert.pfx. První z nich je certifikát, druhý nese certifikát i privátní klíč.

 

Dvojici certifikát – privátní klíč již máme, nyní vytvoříme samotného agenta obnovení:

 

  1. Stiskněte klávesovou zkratku Win+R, vepište secpol.msc a potvrďte klávesou Enter.
  2. V otevřené konzoli Místní zásady zabezpečení v levém podokně rozbalte složku Zásady veřejných klíčů a klikněte na Systém souborů EFS.
  3. V horním menu Akce zvolte Všechny úkoly -> Přidat agenta obnovení.
    sifr_recovery_agent
  4. V otevřeném průvodci klikněte na Další a v následujícím okně za pomocí tlačítka Procházet složky vyhledejte certifikát racert.cer, který jsme vygenerovali v předchozím postupu.
  5. Pokračujte tlačítkem Další. Nakonec zvolte Dokončit.

 

ICTS24

V tuto chvíli již existuje agent obnovení, což v praxi znamená to, že kdokoliv od nynějška zašifruje nějaký soubor, operační systém tento soubor zašifruje rovněž pro námi vytvořeného agenta obnovení.
sifr_obnoveni

Náplní příštího dílu bude postup, jakým přidělit jednotlivým uživatelům právo obnovovat zašifrované soubory a jak toto právo zase odebrat.